The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Не блокируется IP в IPTABLES, pavelstop (ok), 10-Мрт-13, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


2. "Не блокируется IP в IPTABLES"  +/
Сообщение от pavelstop (ok), 10-Мрт-13, 21:27 
>> Добрый день, дамы и господа. Вообщем, пытаюсь заблокировать один IP-злоумышленника, чтобы
>> не заходил на сайт
> Боюсь, что ваша система настолько дырява, что вы даже не видите настоящего
> IP "злоумышленника".
>> Как быть, ребята.
>> Я не совсем в этом понимаю :)
> видимо выключить сервер, а иначе никак.

Блин :)

Вообщем его IP я знаю... В правилах я указал для примера, вообще левый IP.


Также для текста я решил сделать, проверить.

Беру другой ноут с другим инетом, и блокирую его IP в IPTABLES, но он все равно заходит

Ответить | Правка | Наверх | Cообщить модератору

3. "Не блокируется IP в IPTABLES"  +/
Сообщение от pavlinux (ok), 10-Мрт-13, 21:35 
> но он все равно заходит

Чудес не бывает, показывай ifconfig -a, route -n и iptables-save.

Ответить | Правка | Наверх | Cообщить модератору

4. "Не блокируется IP в IPTABLES"  +/
Сообщение от pavelstop (ok), 10-Мрт-13, 21:46 
>> но он все равно заходит
> Чудес не бывает, показывай ifconfig -a, route -n и iptables-save.

[root@pavl ~]# iptables-save
# Generated by iptables-save v1.4.7 on Sun Mar 10 21:53:08 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [828194:117273385]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 20,21,22,80,99,1500:1505,27014:27050 -j AC                                                                                        CEPT
-A INPUT -p udp -m multiport --dports 29000,27000:27030 -j ACCEPT
-A INPUT -p udp -m udp -m string --hex-string "|17c74a30a2fb752396b63532b1bf79b0                                                                                        |" --algo kmp --to 65535 -j DROP
-A INPUT -p udp -m udp -m string --hex-string "|17951a20e2ab6d63d6ac7d62f1f721e0                                                                                        57cd4270e2f1357396f66522f1ed61f0|" --algo kmp --to 65535 -j DROP
-A INPUT -p udp -m udp -m string --hex-string "|178f5230e2e17d73d6bc6562f1ed29e0                                                                                        |" --algo kmp --to 65535 -j DROP
-A INPUT -p udp -m udp -m string --hex-string "|d50000806e000000|" --algo kmp --                                                                                        to 65535 -j DROP
-A INPUT -p udp -m udp -m string --hex-string "|ffffffff6765746368616c6c656e6765                                                                                        000000000000|" --algo kmp --to 65535 -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -p icmp -m icmp --icmp-type any -j ACCEPT
COMMIT
# Completed on Sun Mar 10 21:53:08 2013

[root@pavl ~]#  route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

[root@pavl ~]#  ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:21:91:8B:5A:0A
          inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::221:91ff:fe8b:5a0a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:650224 errors:0 dropped:0 overruns:0 frame:0
          TX packets:869460 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:50952223 (48.5 MiB)  TX bytes:136622485 (130.2 MiB)
          Interrupt:19 Base address:0x6000

eth1      Link encap:Ethernet  HWaddr 00:15:58:46:AC:78
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:19 Base address:0xd400

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1088 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1088 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:157509 (153.8 KiB)  TX bytes:157509 (153.8 KiB)

Ответить | Правка | Наверх | Cообщить модератору

5. "Не блокируется IP в IPTABLES"  +/
Сообщение от pavlinux (ok), 10-Мрт-13, 22:11 
> ...
> :INPUT ACCEPT [0:0]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [828194:117273385]

Эти три должны быть DROP. По циферкам [0:0] можешь видеть, что ни один пакет в них не попал.

iptables -P INPUT -j DROP
iptables -P OUTPUT -j DROP
iptables -P FORWARD -j DROP  

иначе всё ниже написанное теряет смысл. :)

> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
> -A INPUT -i lo -j ACCEPT
>...

Ответить | Правка | Наверх | Cообщить модератору

6. "Не блокируется IP в IPTABLES"  +/
Сообщение от pavelstop (ok), 10-Мрт-13, 22:19 
>[оверквотинг удален]
>> :OUTPUT ACCEPT [828194:117273385]
> Эти три должны быть DROP
> iptables -P INPUT -j DROP
> iptables -P OUTPUT -j DROP
> iptables -P FORWARD -j DROP
> иначе всё ниже написанное теряет смысл. :)
>> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
>> -A INPUT -i lo -j ACCEPT
>>...

Хорошо. Но как быть с блокировкой IP. Если изменю, будет все отлично? Но ведь замена это для тех, нижних правил.

Ответить | Правка | Наверх | Cообщить модератору

7. "Не блокируется IP в IPTABLES"  +/
Сообщение от pavlinux (ok), 10-Мрт-13, 22:28 
>[оверквотинг удален]
>> iptables -P INPUT -j DROP
>> iptables -P OUTPUT -j DROP
>> iptables -P FORWARD -j DROP
>> иначе всё ниже написанное теряет смысл. :)
>>> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>>> -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
>>> -A INPUT -i lo -j ACCEPT
>>>...
> Хорошо. Но как быть с блокировкой IP. Если изменю, будет все отлично?
> Но ведь замена это для тех, нижних правил.

Есть два вида фаерволов.

1. Запретить всё - разрешать выборочно!
2. Разрешить всё - запрещать выборочно!

Если ещё плохо ориентируешься в iptables, начни со второго варианта.

Ответить | Правка | Наверх | Cообщить модератору

8. "Не блокируется IP в IPTABLES"  +/
Сообщение от ACCA (ok), 11-Мрт-13, 02:43 
Только запутали чувака. Правила проверяются сверху вниз, за исключением default.

Если у тебя вначале стоит
   -A INPUT -p tcp -m multiport --dports 20,21,22,80,99,1500:1505,27014:27050 -j ACCEPT

*ктати, а вот нахера столько открывать?*, то
   -A INPUT -s 1.1.1.1 -j DROP
бессмысленное занятие.

Сделай
   -I INPUT -s 1.1.1.1 -j DROP

и проверь, что это попало в таблицу, и попало на первое место.

Ответить | Правка | Наверх | Cообщить модератору

9. "Не блокируется IP в IPTABLES"  +/
Сообщение от PavelR (??), 11-Мрт-13, 07:53 
> Сделай
>    -I INPUT -s 1.1.1.1 -j DROP
> и проверь, что это попало в таблицу, и попало на первое место.

Ну он типа так уже делал:

>Вввожу в консоль:
>iptables -I INPUT -s 1.1.1.1 -j DROP
>Но все равно с IP 1.1.1.1 можно зайти на сайт

Ответить | Правка | Наверх | Cообщить модератору

11. "Не блокируется IP в IPTABLES"  +/
Сообщение от pavlinux (ok), 11-Мрт-13, 15:54 
> Правила проверяются сверху вниз, за исключением default.

Да ну?!

А я-то всё время думал, что вот так (для INPUT)

-t raw PREROUTING (раньше raw небыло)
-t mangle PREROUTING
-t nat PREROUTING
-t mangle INPUT
-t filter INPUT


Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

14. "Не блокируется IP в IPTABLES"  +/
Сообщение от ACCA (ok), 12-Мрт-13, 02:14 
> А я-то всё время думал, что вот так (для INPUT)

Ну, давай будем умничать. Ему до разницы между INPUT и OUTPUT ещё пыхтеть и пыхтеть, у него очень простой косяк в INPUT.

Ответить | Правка | Наверх | Cообщить модератору

17. "Не блокируется IP в IPTABLES"  +/
Сообщение от LSTemp (ok), 13-Мрт-13, 22:26 
>> Правила проверяются сверху вниз, за исключением default.
> Да ну?!
> А я-то всё время думал, что вот так (для INPUT)
> -t raw PREROUTING (раньше raw небыло)
> -t mangle PREROUTING
> -t nat PREROUTING
> -t mangle INPUT
> -t filter INPUT

Но это проядок прохождения пакетов по таблицам на сам хост с iptables. Автор же (на сколько я понял) пытается блокировать прохождение пакетов от другого хоста. Очевидно, что надо обрабатывать транзитный трафик, а не трафик к машине, на которой iptables стоит.


Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

18. "Не блокируется IP в IPTABLES"  +/
Сообщение от LSTemp (ok), 13-Мрт-13, 22:45 
>> Правила проверяются сверху вниз, за исключением default.
> Да ну?!

он имел в виду порядок прохождения правил внутри цепоцек, а не по таблицам.

> А я-то всё время думал, что вот так (для INPUT)
> -t raw PREROUTING (раньше raw небыло)
> -t mangle PREROUTING
> -t nat PREROUTING
> -t mangle INPUT
> -t filter INPUT

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

21. "Не блокируется IP в IPTABLES"  +/
Сообщение от LSTemp (ok), 14-Мрт-13, 02:26 
> Если ещё плохо ориентируешься в iptables, начни со второго варианта.

хреновый вариант. так он никогда ошибок своих не увидет, пока кто-то со стороны свистеть не начнет про то, какой он гад и откуда у него руки растут.


Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

12. "Не блокируется IP в IPTABLES"  +/
Сообщение от LSTemp (ok), 11-Мрт-13, 19:18 
>> ...
>> :INPUT ACCEPT [0:0]
>> :FORWARD ACCEPT [0:0]
>> :OUTPUT ACCEPT [828194:117273385]
> Эти три должны быть DROP. По циферкам [0:0] можешь видеть, что ни
> один пакет в них не попал.
> iptables -P INPUT -j DROP
> iptables -P OUTPUT -j DROP
> iptables -P FORWARD -j DROP
> иначе всё ниже написанное теряет смысл. :)

Вообще все наоборот. По полиси будут обработаны пакеты не попавшие ни в одно правило цепочки. Это действие по умолчанию, которое выполняется В КОНЦЕ.

>> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
>> -A INPUT -i lo -j ACCEPT
>>...

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

20. "Не блокируется IP в IPTABLES"  +/
Сообщение от LSTemp (ok), 14-Мрт-13, 02:23 
>> ...
>> :INPUT ACCEPT [0:0]
>> :FORWARD ACCEPT [0:0]
>> :OUTPUT ACCEPT [828194:117273385]
> Эти три должны быть DROP. По циферкам [0:0] можешь видеть, что ни
> один пакет в них не попал.

от смены политики обработки пакетов по умолчанию, количество попавших сюда пакетов никак не изменится )

> iptables -P INPUT -j DROP
> iptables -P OUTPUT -j DROP
> iptables -P FORWARD -j DROP
> иначе всё ниже написанное теряет смысл. :)
>> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
>> -A INPUT -i lo -j ACCEPT
>>...

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру